□ 童 寧

對抗網(wǎng)絡威脅演化建立“網(wǎng)絡平安城市”

□ 童 寧

當前，智慧城市、智慧生活已成為移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等技術與O2O、C2C、共享經(jīng)濟等商業(yè)模式交叉融合的產(chǎn)物，也是科技巨擘爭相布局的創(chuàng)新熱土和現(xiàn)代城市發(fā)展演化的重要方向。在智慧城市建設過程中，智慧應用與網(wǎng)絡安全密不可分，二者往小處說有可能涉及個人隱私泄露，往大處說，事關危機處理、決策判斷。因此，在與不斷演化的網(wǎng)絡威脅對抗中，就需要將網(wǎng)絡安全防護系統(tǒng)納入到智慧城市管理系統(tǒng)之中，建立和建成“網(wǎng)絡平安城市”。

智慧城市不是說建就建 安全威脅如影隨形

當今“大數(shù)據(jù)是‘鉆石礦’，人在干、數(shù)在轉(zhuǎn)、云在算”。在2016年中國大數(shù)據(jù)產(chǎn)業(yè)峰會上，李克強總理這樣強調(diào)大數(shù)據(jù)的意義。推進大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)的發(fā)展不僅有效促進經(jīng)濟結(jié)構調(diào)整，也推動著百姓日常生活質(zhì)量的大幅提升。目前，我國已經(jīng)有超過500個城市在進行智慧城市試點，均出臺了相應規(guī)劃，計劃投資規(guī)模超過萬億元。智慧城市建設不僅有利于技術更新和科技成果轉(zhuǎn)化速度加快，更能利用智慧化的城市管理、城市生活以及城市生產(chǎn)，將更便捷的網(wǎng)絡化、智能化的系統(tǒng)慢慢滲透到市民的生活中，真正實現(xiàn)為民而建。

智慧城市是多應用、多行業(yè)、復雜系統(tǒng)組成的綜合體，多個應用系統(tǒng)之間存在信息共享、交互的需求。而云計算恰好可以打破信息孤島，充分利用大數(shù)據(jù)來實現(xiàn)各個系統(tǒng)之間的協(xié)同運行，但云計算是需要無處不在的網(wǎng)絡連接和隨時隨地可用的大數(shù)據(jù)來支撐。但是，在遍布智慧城市每一個角落的網(wǎng)絡中，設備上、系統(tǒng)內(nèi)都可能存在大量的已知和未知漏洞，無論是“數(shù)在轉(zhuǎn)”，還是“云在算”，不法分子都會盯上這些價值不菲的數(shù)字資源，暴力或者恐怖分子更會借機對智慧城市發(fā)動毀滅性的網(wǎng)絡攻擊。

國家互聯(lián)網(wǎng)應急中心公布的第15期安全周報顯示，我國境內(nèi)感染網(wǎng)絡病毒主機數(shù)量達到86.8萬，同比增長13.8%，境內(nèi)被植入后門網(wǎng)站總數(shù)為4441個，同比大增71.1%，新增信息安全漏洞數(shù)量為106，同比增長14.0%……，這么一連串觸目驚心的數(shù)字并不簡單，暗藏著可以威脅智慧城市建設的巨大陰影。例如，通過信息安全漏洞黑客可能會攻擊交通、水利、電力等基礎設施系統(tǒng)，造成經(jīng)濟損失、社會秩序混亂乃至威脅國家安全，智慧城市的建設目標自然也就無從談起。

平安城市的泛化：“網(wǎng)絡平安城市”

城市的誕生書寫了人類聰智的文明史，預計到2050年，大約超過70%的人口將會生活在城市當中。而中國的城市化進程發(fā)展更為迅猛，隨著大量人口涌入城市，城市規(guī)劃和管理、社會穩(wěn)定與安全、民生及可持續(xù)發(fā)展等各方面都面臨著嚴峻的挑戰(zhàn)。正因為如此，我們必須建立一個更加和諧的理想家園、一個更加智慧的城市、更加平安的城市。

平安城市不僅僅是指治安管理、災難預警、安全生產(chǎn)、社會監(jiān)控等城市物理空間安全，同樣也應該指網(wǎng)絡空間的安全性。而目前我國城市級網(wǎng)絡空間安全管理的現(xiàn)狀并不樂觀，其問題突出體現(xiàn)在缺少城市一級的總體安全態(tài)勢監(jiān)控、對公眾網(wǎng)絡安全意識教育投入不夠、網(wǎng)絡安全人員培養(yǎng)體系缺乏、網(wǎng)絡安全管理邊界對象不清晰等，這些問題導致城市網(wǎng)絡安全管理存在著大量漏洞，安全威脅很容易乘虛而入。

需要注意的是智慧城市的安全風險又不同于傳統(tǒng)信息安全風險，每個層面都存在著安全風險，并且更容易受到有組織有計劃的黑客團體攻擊。首先，在智慧城市建設中通常將智慧城市劃分為感知層、通信傳輸層、應用層、智能分析等層面。這幾個層面哪個層面出現(xiàn)問題都有可能造成城市管理混亂，輕則數(shù)據(jù)泄露，重則事故頻發(fā)。其次，一些匿名者的攻擊行動往往出于政治性目的，他們通常使用doxes、DNS攻擊、丑化、重定向、DDoS攻擊、數(shù)據(jù)庫資料泄露等攻擊手段，破壞攻擊目標的網(wǎng)絡及數(shù)據(jù)。而更大的威脅在于，黑客很可能采用緩慢滲透的方式來侵入防護嚴密的智慧城市網(wǎng)絡防御體系，這種高級持續(xù)性威脅（APT攻擊）不僅防范難度高，而且破壞力更大。那么，到底有什么好方法可以抵御這些威脅呢？

“網(wǎng)絡平安城市”的任務：網(wǎng)絡威脅有效治理

智慧城市的建設是一項巨大的工程，牽涉眾多信息化子系統(tǒng)的建設，其中任何一個環(huán)節(jié)出現(xiàn)問題都可能影響城市的整體安全防護。而且，智慧城市是一個政府、企業(yè)、公眾有機銜接的城市體系，必須要整合各方力量，打造主動式、立體式的網(wǎng)絡安全防護體系。

作為云與大數(shù)據(jù)安全的技術領導廠商，亞信安全長期跟蹤、收集、分析、治理遍布全球的 網(wǎng)絡攻擊，幫助用戶共渡難關。亞信安全相信：“未知的威脅總是令人恐懼，但當它們被徹底揭露之后，努力尋找到最佳的防御手段則會幫助用戶重拾信心?！?/p>

當前，智慧城市應用業(yè)務集中在個人終端移動化、數(shù)據(jù)中心云化，而網(wǎng)絡攻擊技術也向更加高級的定向式攻擊演化：

第一，PC和移動設備構成了消費者信息終端的多樣化，用戶會面對日益增多、不斷精進的惡意程序和黑客攻擊手法，而傳統(tǒng)防護系統(tǒng)陳舊的防護模式也會在新的安全威脅下顯得“無力”。

第二，云計算數(shù)據(jù)中心的虛擬化基礎設施，即服務器、網(wǎng)絡和存儲設備，皆以準備完畢，它們會讓數(shù)據(jù)中心變得更為靈活，更自動化，這讓數(shù)據(jù)中心的防御環(huán)境出現(xiàn)了巨大的變化。

第三，高級持續(xù)性威脅（advanced persistent threat，APT）呈增長之勢，APT攻擊者采用定制化的手段、利用社會工程學，有計劃、有組織地持續(xù)窺探目標網(wǎng)絡弱點，長期潛伏并竊取核心機密數(shù)據(jù)，這讓智慧城市中的軟硬件系統(tǒng)都處于危險境地。

信息安全廠商必須針對威脅的數(shù)量、變化和速度尋找解決方案，以應對今日的威脅演進，這包括能夠?qū)θ魏卧O備、任何應用、任何地點提供有效防護。作為防御體系發(fā)展的基礎，亞信安全的云安全技術搜集了大量的威脅相關信息，然后運用大數(shù)據(jù)分析來發(fā)掘、交叉關聯(lián)、分析新的威脅。這讓我們可以通過成熟的云端基礎架構來提供即時的防護，確保網(wǎng)絡威脅治理在數(shù)量、變化與速度上都能獲得有效而高效率的管理。

以最難防范的APT 攻擊為例，由于攻擊者采用了定制化的手段，利用社會工程學，有計劃、有組織地持續(xù)窺探目標網(wǎng)絡弱點，長期潛伏并竊取核心機密數(shù)據(jù)，這讓越來越多的數(shù)據(jù)中心處于危險境地。更可怕的是APT 攻擊會演化成為普遍的網(wǎng)絡犯罪，讓智慧城市中的網(wǎng)絡裝置處于安全風險之中。所以，預知APT 威脅將會來自哪里，察覺威脅具備怎樣的特征，進而采取與之對應的防御戰(zhàn)略將具有重大意義。

實際上，媒體所報道的APT 攻擊事件只能算是冰山一角，很多智慧城市網(wǎng)絡系統(tǒng)的管理者并不知道正在被APT 攻擊，或是考慮到負面影響而未披露。所以，解開APT 攻擊之謎的第1步就是充分了解黑客將從何入手、清楚他們是如何拿到數(shù)據(jù)的。通過研究和總結(jié)我們發(fā)現(xiàn)，APT 攻擊的來龍去脈可以分為以下6個階段，并具有非常明顯的行動特點。

圖2 APT 攻擊原理分析

第1 階段：情報收集

亞信安全的調(diào)查結(jié)果顯示，只有31% 的組織會懲罰將內(nèi)部機密資料貼到公眾社交平臺上的員工，這使得黑客非常容易就能獲取到目標IT 環(huán)境和網(wǎng)絡架構內(nèi)的重要信息。攻擊者針對需要竊取數(shù)據(jù)的企業(yè)對象，將第1個目標鎖定到員工的身上，并使用公共信息資源（網(wǎng)絡社交工具，如微信、微博、朋友圈等）以及社交工程學等手段收集并研究目標對象的相關信息，準備實施定向攻擊。

第2 階段：單點突破

利用電子郵件、即時通信軟件、社交網(wǎng)絡或應用程序漏洞找到進入目標網(wǎng)絡的大門。亞信安全的調(diào)查結(jié)果顯示，在87% 的組織中會有網(wǎng)絡用戶點擊黑客安排的網(wǎng)絡鏈接，這些惡意鏈接都是精心設計的APT 社交工程的誘餌。另外，超過90% 的APT 攻擊利用了社交工程釣魚郵件，這是針對性最強、設計最縝密、入侵最有效、成本最低廉的攻擊媒介。恰恰是這種簡單的技巧，使得攻擊者不費吹灰之力繞過傳統(tǒng)安全防御，將惡意代碼推送給目標個體，創(chuàng)建后門，實現(xiàn)單點突破進入目標網(wǎng)絡，從而著手進一步網(wǎng)絡滲透。

第3 階段：命令與控制 （C&C 通信）

目標個體一旦閱讀或點擊了“誘餌”，攻擊者的后門程序?qū)晒χ踩氲侥繕藗€體的主機上，以達到持久駐留在內(nèi)部網(wǎng)絡的目的，并伺機潛入盡可能多的主機。被入侵的計算機通過部署在互聯(lián)網(wǎng)的C&C 服務器與攻擊者保持通信，獲取攻擊者的指令及更多攻擊工具，用于后續(xù)階段的使用。由于 C&C 通信的特征與正常流量不同，因此這通常是APT 攻擊的第1個跡象。但是，攻擊者演進了技術，通過降低通信頻率，使用加密手段以及在極短的時間內(nèi)改變域名和 IP 地址，讓C&C通信變得難以檢測。

第4 階段：橫向移動

攻擊者立足之后會滲透更多的內(nèi)部主機，收集憑證、提升權限級別，實現(xiàn)持久控制。為此，攻擊者會試圖獲取大量的普通賬戶以及管理員賬戶。攻擊者通常會跟蹤 Active Directory 之類目錄服務或Root 權限的賬號，使用一定的技巧和工具（例如可以傳遞哈希值算法的工具）將攻擊者權限提升到和管理者一樣。這個過程一旦成功，攻擊者便會為自己創(chuàng)建合法的賬戶和訪問權限，以訪問托管所需信息的服務器，從而加快敏感數(shù)據(jù)的發(fā)掘和泄漏。由于最終數(shù)據(jù)竊取利用了合法的管理憑證，這使得數(shù)據(jù)竊取檢測變得更加困難。

第5 階段：資產(chǎn)/ 資料發(fā)掘

為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù)，攻擊者會長期低調(diào)地潛伏，并使用一些技術和工具手段識別有價值的服務器及存放在這些服務器上的重要信息資產(chǎn)，以挖掘出更多敏感資料。這個過程通常不是重復自動化的過程，而是人工對數(shù)據(jù)作分析，尋找雇傭者需要的或是可以高價販賣的“數(shù)據(jù)”。

第6 階段：資料竊取

APT 是一種高級的、狡猾的伎倆，高級黑客可以利用APT 入侵網(wǎng)絡，逃避“追捕”，隨心所欲對相關數(shù)據(jù)進行長期訪問，最終挖掘到想要的信息。而在收集了敏感信息之后攻擊者將把數(shù)據(jù)歸集起來進行壓縮和加密，再通過外部暫存服務器將數(shù)據(jù)外傳出去。攻擊者主要的行為將放在長期控制上，可如果他們發(fā)現(xiàn)事件敗露便會破壞信息的完整性及可用性，以起到“毀尸滅跡”的目的。但此時泄密信息早已進入到地下黑市交易，或是被雇傭方非法占有。

那么，問題來了！面對APT 攻擊，用戶真的無法進行有效的預防和抑制嗎？能否在APT 攻擊生命周期的時間線軸上進行防御和治理呢？

“螺旋迭代”的立體化治理結(jié)構

亞信安全提出：“一個中心，四個過程”的“螺旋迭代”的APT治理模式，實現(xiàn)針對性極強的立體化治理結(jié)構。一個中心：是以監(jiān)控為中心，實現(xiàn)威脅可視化、策略下發(fā)以及威脅情報共享，它是治理戰(zhàn)略的中控系統(tǒng)，貫穿整個治理周期的始終。四個過程分別是偵測、分析、響應和阻止。

1）偵測是治理戰(zhàn)略的神經(jīng)系統(tǒng)，亞信安全深度威脅發(fā)現(xiàn)平臺（deep discovery，DD）產(chǎn)品平臺構成網(wǎng)絡神經(jīng)中樞，亞信安全全線安全產(chǎn)品構成網(wǎng)絡神經(jīng)元，用于檢測攻擊者所使用的傳統(tǒng)防御無法識別的惡意程序、通信及行為等威脅。

2）分析是治理戰(zhàn)略的取證分析系統(tǒng)，通過Deep Discovery Endpoint Sensor確認威脅是否發(fā)生，分析風險、攻擊和攻擊者的本質(zhì)，回溯攻擊場景，評估威脅的影響和范圍。

3）響應是治理戰(zhàn)略的聯(lián)動治理系統(tǒng)，亞信安全管理平臺負責制定及分發(fā)治理策略，亞信安全全線安全產(chǎn)品及其他第三方安全產(chǎn)品負責執(zhí)行補救措施，清除威脅，實施聯(lián)動保護，適應防護變化的要求。

4）阻止是治理戰(zhàn)略的預防系統(tǒng),主要針對APT攻擊的第5階段和第6階段實施安全防御，通過數(shù)據(jù)發(fā)掘了解信息資產(chǎn)的分布，通過數(shù)據(jù)加密、防泄漏、應用控制、APT追蹤等技術，防止信息資產(chǎn)被非法訪問或外泄。

圖3 亞信安全APT治理戰(zhàn)略“雙回路”解決方案

“螺旋迭代”的APT治理模式與之對應的是亞信安全APT治理戰(zhàn)略“雙回路”解決方案。

1）本地威脅情報回路。以亞信安全深度威脅發(fā)現(xiàn)平臺為主的亞信安全全線產(chǎn)品不僅實現(xiàn)安全節(jié)點的全面覆蓋，具備已知威脅的攔截能力以及可疑威脅的偵測能力，最重要的是有別于基于傳統(tǒng)特征碼檢測的未知威脅發(fā)現(xiàn)以及聯(lián)動分析機制，所有安全節(jié)點偵測到的可疑對象都將提交至亞信安全深度威脅分析設備（DDAN），使用擴展的深度動態(tài)沙箱作進一步分析，用以確認新型威脅，并生成新型威脅特征：如文件Hash、IP、域、OpenIOC 以及C&C 黑名單等；DDAN 將新型威脅特征提交給Control Manager，Control Manager 通過策略將新型威脅特征下發(fā)到本地的網(wǎng)關、虛擬化、服務器以及終端等各個安全節(jié)點，以提高新型威脅的偵測和阻斷能力，并開啟新一輪的威脅偵測，實現(xiàn)本地威脅情報回路。

2）全球威脅情報回路：本地新型威脅特征也會提交給云端SPN，共享給亞信安全全球用戶使用。另外，通過部署在本地SPN 以及亞信安全云端SPN 的實時威脅情報共享機制，了解其他地方發(fā)現(xiàn)的相同C&C 惡意服務器或類似惡意軟件的攻擊，使得各個安全節(jié)點可以對C&C 惡意回連等APT 特征行為進行偵測和阻斷。

已有的APT治理成功案例可以證明，以亞信安全深度威脅發(fā)現(xiàn)平臺為神經(jīng)中樞，以亞信安全全線安全產(chǎn)品為神經(jīng)元的全方位偵測體系，可以充分利用云端及本地威脅特征偵測并阻止已知威脅，同時利用高級威脅掃描引擎?zhèn)蓽y可疑威脅，并通過進一步分析和確認，最終通過Control Manager在本地和云端共享這些威脅特征，讓客戶不僅能夠檢測APT，還能對企業(yè)IT 進行聯(lián)動保護和智能修復，保護企業(yè)免受攻擊，消除APT對組織戰(zhàn)略發(fā)展的不利影響。實際上，本地和全球威脅情報“雙回路”的暢通，最終形成了可以支持APT 治理戰(zhàn)略落地的整體方案，這也是APT 攻擊威脅防御演化為威脅治理的“基本條件”。

多年之前，網(wǎng)絡安全軟件很難甄別攻擊是如何發(fā)生，但隨著信息安全技術的不斷創(chuàng)新，網(wǎng)絡攻擊正在得到有效攔截，黑客的進攻路徑也可以在最新的安全產(chǎn)品下顯露無疑。這些創(chuàng)新的網(wǎng)絡安全技術必將成為“網(wǎng)絡平安城市”的重要組成部分，為智慧城市、智慧中國護航。

強化城市級網(wǎng)絡空間態(tài)勢感知 亞信安全在行動

在建設智慧城市的過程中，我們建議相關管理部門最好能夠建立網(wǎng)絡威脅的預警防護體系以及城市一級的總體安全態(tài)勢監(jiān)控，一旦發(fā)生安全威脅能夠及時進行處理。城市管理者還應該加強公眾網(wǎng)絡安全教育，讓公眾認識到網(wǎng)絡安全的嚴重威脅，并能在生活中主動強化安全防御意識。此外，智慧城市還應該建立網(wǎng)絡安全人才培養(yǎng)基地，為平安城市的構建提供充足的人才資源支撐。

從智慧城市的實踐來看，強化城市級網(wǎng)絡空間態(tài)勢感知至關重要，這要求智慧城市打造高效的公共安全服務平臺，能夠及時感知網(wǎng)絡安全威脅的變化，提供病毒木馬、釣魚詐騙、網(wǎng)絡安全預警、漏洞報告在內(nèi)的安全情報，幫助政府單位、企業(yè)、個人應對安全風險。

亞信安全正在通過以云安全實驗室為核心的安全威脅情報搜集系統(tǒng)，來幫助政府強化網(wǎng)絡空間態(tài)勢能力。云安全實驗室整合了全球云安全資源以及完全本地化的安全服務，能提供及時的安全威脅響應服務。此外，亞信安全還與成都市政府等地方政府進行廣泛合作，通過建設高級威脅情報中心、培養(yǎng)網(wǎng)絡安全人才、強化公眾網(wǎng)絡安全教育、網(wǎng)絡安全聯(lián)合研究等措施，全面提升智慧城市的網(wǎng)絡安全防護能力。

童 寧

亞信安全業(yè)務發(fā)展及產(chǎn)品研發(fā)總經(jīng)理.負責亞信安全TSG產(chǎn)品管理團隊，包括產(chǎn)品管理，業(yè)務發(fā)展以及產(chǎn)品研發(fā)管理。歷任趨勢科技中國研發(fā)中心項目經(jīng)理、軟件測試總監(jiān)、研發(fā)中心運營總監(jiān)、全球產(chǎn)品維護資深總監(jiān)、趨勢科技中國產(chǎn)品管理及市場發(fā)展總監(jiān)，直接領導美國、德國、日本、中國臺灣，以及中國研發(fā)中心的產(chǎn)品維護研發(fā)團隊，對全球客戶進行服務；負責中國區(qū)銷售產(chǎn)品的市場戰(zhàn)略、營銷計劃、價格策略以及合作伙伴。2015年9月起，隨亞信安全收購趨勢科技中國，加入亞信安全。tongning@asiainfo-sec.com

Defense the Evolutionary of Cyber Threats to Build a Cyber Security of Smart City

Tong Ning